8:56
1/8/2012

Pamiętacie jak niedawno pisaliśmy o tym, że użytkownicy Dropbox, na e-maile użyte tylko do założenia konta na Dropboksie, otrzymują spam? Podejrzewano wtedy wyciek bazy z serwisu, ale Dropbox po wstępnej analizie wykluczył włamanie. Teraz jednak Dropbox przesłał swoim użytkownikom ciekawego e-maila i zresetował im wszystkim hasła…

Dziwny e-mail od Dropbox

Oto e-mail jaki otrzymali dziś użytkownicy Dropboksa:

dropbox hacked

Dropbox

Podkreśliliśmy w nim na czerwono zwroty sugerujące, że to nie z Dropboksa wyciekły dane, a z innych serwisów — a sam Dropbox występuje jedynie w roli “dobrego wujka”, który na wszelki wypadek resetuje hasła. Dlaczego? Bo ludzie mają zwyczaj używania jednego hasła — a więc jeśli wycieknie ich hasło z LinkedIn, a to samo mają do Dropboksa, to wiadomo co może się stać — stąd wymuszony reset haseł, czyli sytuacja podobna do tej, która w Polsce też miała miejsce kilka lat temu: po wycieku bazy Wykop.pl hasła swoim użytkownikom zresetowała Nasza Klasa oraz Allegro.

Możecie teraz pomyśleć — “o jaki ten Dropbox miły, uczynny i dobry. Jak troszczy się o swoich użytkowników. Brawo Dropbox!“. Możecie myśleć, że wasze dane są bezpieczne, że nic nie wyciekło, ale będzie to niestety myślenie błędne…

A jednak, Dropbox hacked

Otóż, Dropbox przyznał (ale sprytnie, bo nie w mailingu rozesłanym do wszystkich użytkowników, a na zdecydowanie mniej poczytnym blogu), że jednak odnalazł ślady nieautoryzowanego dostępu do kont swoich użytkowników (nie podano liczby) w tym — i to najważniejsze — na konto jednego ze swoich pracowników.

I teraz najlepsze: tak się złożyło, że ten pracownik pracował nad projektem, który zawierał w sobie listę e-mail użytkowników Dropboksa (nie wiadomo ilu). I to ma być przyczyna spamu na adresy podane przez użytkowników Dropboxa podczas rejestracji.

Atak na Dropbox, jest więc bardzo podobny do ataku na Cloudflare, do którego również dostano się dzięki przejętej skrzynce pocztowej jednego z pracowników i brakiem podstawowych zasad ochrony danych użytkowników.

Wnioski:

  • Nie warto używać jednego hasła do wielu serwisów. Apelujemy o tym po każdym wycieku bazy a i tak są tacy, którzy myślą, że ich to nie spotka…
  • Gdzie to możliwe należy włączyć podwójne uwierzytelnienie
  • Pisanie do użytkowników cwanych e-maili z półprawdami nie jest dobrą drogą. Dziś, mimo to, że Dropbox napisał w e-mailu że wyciekły hasła z “some” nie “our” serwisów oraz że wymuszony reset jest na wszelki wypadek i że do konta adresata nikt się nie włamał …i tak dostaliśmy od naszych czytelników kilkadziesiąt forwardów z komentarzem typu: “patrzcie, z dropbox wyciekły hasła!”
  • Warto szkolić swoich pracowników z bezpieczeństwa, uświadamiać im zagrożenia pracy z komputerem. Nawet popularna, profesjonalna i dobrze zabezpieczona “z zewnątrz” usługa może zostać “złamana” przez błąd i niewiedzę któregoś z pracowników (patrz atak na RSA).

Przeczytaj także:



35 komentarzy

Dodaj komentarz
  1. Ja jeszcze żadnego maila nie dostałem. Mam się cieszyć czy bać ?

    • Też jeszcze nic nie otrzymałem, a i hasła mi nie zresetowali.

    • +1

  2. “Dropbox występuje jedynie w roli “dobrego wujka”, który na wszelki wypadek resetuje hasła” kiedy był ten reset haseł? Omijają niektórych, czy news do wydarzeń sprzed rokU?

    • Może resetują tylko tym co byli na “liście” tego pracownika?

    • tak czy siak warto zmienić hasło

  3. Też żadnego maila nie dostałem ale… Ten artykuł obnaża to czego się zawsze bałem myśląc o chmurkach. NIestety to tak jak i inne usługi informatyczne NIGDY nie będą bezpieczne bo ciągle albo nawala człowiek albo znajduja over and over jakieś dziury bez końca… Tym akcentem powracam co czasów przedpotopowych – sejf w domu + poszyfrowane dyski w nim a na chmurce to se można trzymać jedynie zdjęcia z wakacji albo przepis na pyszne ciasto babci.

    • Chmura jest OK, ale oczywiście nie do wszystkiego. Ja na przykład trzymam na Dropboxie głównie takie informacje, których rozprzestrzenienie się po świecie byłby dla mnie (dla firmy właściwie) darmową reklamą :).
      Bardziej wrażliwe dane wrzucam do zaszyfrowanego kontenera (500 MB) i nie stresuję się żadnym wyciekiem :).

    • Jest taka dziedzina kryptografii, która nazywa się: Fully homomorphic encryption w skrócie FHE czy jak ktoś woli po polsku szyfrowanie w pełni homomorficzne. Teoretycznie, gdyby ta dziedzina wiedzy się rozwinęła, to nie musielibyśmy ufać żadnemu urządzeniu, oprócz naszego terminala, a zarazem korzystać z chmur…

  4. Tak podejrzewałem, że wyciekły im dane.
    Rejestrowałem się do Dropboxa za pomocą maila uczelnianego – więcej przestrzeni – i ostatnio zacząłem dostawać na niego multum spamu. Podejrzenie wynikło stąd, że maila tego praktycznie nie używam i Dropbox jest jedynym serwisem, gdzie został on użyty.

  5. nie jestem pewien czy dobrze rozumiem:
    1) niektórzy użytkownicy mieli oczywiste hasła (takie same jak gdzieś indziej)
    2) złe ludzie powłazili na konta 1)
    3) jednym z 1) był pracownik dropboksa
    4) miał na swoim dysku plik z lista maili=loginów do dropboksa
    5) polazł spam na adresy z listy
    dużo pomyliłem?

    • Dokładnie tak.

    • Wyjaśnijcie mi jaka norma/metodologia bezpiecznego projektowania/programowania dozwala wypełnianie baz testowych lub projektów danymi z bazy produkcyjnej?

      Jaka dobra praktyka pozwala aby projektanci mieli dostęp do danych z produkcji i do czego jest im to potrzebne oraz w jakim celu takie dane leżą na słabo zabezpieczonym koncie dropboxa?

  6. Mam konto na dropboxie praktycznie od początków istnienia, mail @gmail.com i dostałem rano takiego maila. Nie przychodził do mnie ostatnio żaden spam.

  7. ale chyba faktycznie z *some* a nie *our* bo ja nie dostałam żadnego spamu, znajomi których namówiłam do założenia konta również, ani maila mówiącego że cokolwiek trzeba resetować..

  8. Mam konto na Dropboxie, ale żadnego mejla nie dostałem (do spamu też żaden nie trafił).

    • Albo jeszcze lecą (jeden, z tych które nam podesłano ma datę nadania 3:00 1 sie 2012) albo Dropbox rozsyła je tylko do tych osób, których e-maile miał ich pracownik na swoim koncie.

  9. dropboxa mam od dawna, nie dostalem maila, nie mialem resetu, spamu ani nic.. takze mozliwe ze to dotknelo jedynie jakas czesc uzytkownikow

  10. Mi również nie zresetowali hasła i spamu nie dostaję. Ciekawe to.

  11. @vi.curry: Dwie uwagi:

    “Możecie myśleć, że że wasze dane są bezpieczne, że nic nie wyciekło, ale będzie to niestety myślenie błędne…”

    Ale przecież hasła wyciekły nie z Dropboxa, a z innego serwisu. Tylko lista emaili wyciekła z Dropboxa. Zatem dane są dokładnie tak samo bezpieczne, jak w sytuacji, w której żadnego wycieku nie było.

    “I teraz najlepsze: tak się złożyło, że ten pracownik pracował nad projektem, który zawierał w sobie listę e-mail wszystkich użytkowników Dropboksa.”

    Skąd informacja, że w projekcie była lista emaili *wszystkich* użytkowników? Na blogu jest “containing a project document with user email addresses”, a ponieważ nie wszyscy otrzymali spam, można zgadywać, że projekt zawierał tylko część emaili.

  12. Moje hasło nie zostało zresetowane.

  13. Możecie myśleć, że że wasze dane są bezpieczne

  14. Cześć,

    napiszę tylko:
    1. jakakolwiek-firma-dropbox-etc haket = spam+resety haseł
    1.1 masz takie samo hasło ‘wszędzie’ – jesteś debilem, którego chętnie okradną.
    2. ataki kierunkowe – znam hasło twego maila -> szukam zboczonych fotek (często są czatownicy tydzież fotkowicze pe elowicze)
    2.1 ‘przypomnij mi hasło’ – do każdego portalu na który logowałeś się używając tego maila
    2.2 sklepy online – haket – ale na Ciebie, bo ‘Ty zamawiasz’ – ja się dobrze bawie.
    2.3 korzystam z twojego login/pass/maila do logowania się i trojanowania stron (dalej, aby kolejni i kolejni userzy mogli: dostać spam/trojana/być okradzeni w inny sposób
    3. cieszę się, jak widze w dumpach adresy typu imie.nazw@firma.cos – wjazd do firm i powtarzamy do zerzygania scenariusz z 2.3).

    buziaczki kochani :*:*:*

    P.S. Piotrze: przy podaniu polśkićh żnaków w polu ‘Email’ dostajemy Error.
    … tak tylko kosmetycznie (jak zawsze ;]) chciałem wtrącić… ;)

    • >1.1 masz takie samo hasło ‘wszędzie’ – jesteś debilem, którego chętnie okradną.
      Jeśli ktoś ma wszędzie takie samo hasło, to nie ma go z czego okradać.

  15. Frajerzy. Trzeba miec jaja, aby przyznac sie do porazki. Trzeba miec jaja i mozg, aby nauczyc sie na wlasnych bledach. Oni jaj nie posiadaja. Cale szczescie, ze nie korzystam z takich masowych uslug. Nic dziwnego, ze nie korzystam z takich pasowych uslug …

    • No raczej każdy kto nie musi nie korzysta z takich usług.

  16. Cisza na DB. Normalnie u mnie pracuje.

  17. Co ciekawe najlepsze jest to, że na dropboxie i wszędzie indziej używam haseł generowanych (+ 2 step-auth jak możliwe, niedługo będzie taka opcja na DB wnioskując po blogu) i nie ma możliwości, żeby skądś wyciekło takie same jak do DB. Mam konto od początku, spamu nie dostawałem i dostałem alert. Dziwne to wszystko dla mnie.

  18. Dla mnie dropboxy, boxy i inne podobne usługi nie są chmurą, tylko dyskiem sieciowym.
    Prawdziwą chmurą obliczeniową np. Cloudflare, czy usługi google dokumenty. gdzie oprócz miejsca dostaje się moc obliczeniową czy jakieś fajne oprogramowanie web.

  19. Ja nie dostałem takiego maila, dlaczego?

  20. […] widać, sytuacja Mata jest dość powszechna. Część usług w chmurze (niekoniecznie musi to być Applowski iCloud), chmura powiązana z kontem na GMailu… Oto kilka wskazówek, jak podnieść bezpieczeństwo […]

  21. […] hasła, w niezbyt bezpieczny sposób przechowywała część danych prywatnych swoich klientów (i dane te wykradziono). Zresztą krytykowana przez posła Jońskiego chmura Apple też miała problemy — przy […]

  22. […] W końcu zarówno dane użytkowników Dropbox jak i Cloudflare zostały wykradzione właśnie poprzez konta pocztowe pracowników tych firm… Ciekawe też jednak jak zdobyto te “kilka loginów i haseł” pracowników […]

  23. […] loginy i hasła użytkowników popularnej “chmury” krążą po sieci. Ale tym razem nie pochodzą one z włamania do serwerów […]

  24. […] na kłamstwie i bardzo enigmatycznie opowiadała o swoich “mechanizmach zabezpieczeń” po ujawnionym włamaniu i tym, czy ma — czy nie ma — dostępu do danych użytkowników (ma). Dropbox zaliczył […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: